攻击者滥用公开的LDAP服务器以放大DDOS攻击

攻击者正在滥用另一种广泛使用的协议，以放大分布式拒绝服务攻击：轻量级目录访问协议（LDAP），用于在公司网络上用于目录服务。

DDOS缓解提供商Corero Network Security最近观察到通过无连接LDAP（CLDAP），使用用户数据报协议（UDP）进行运输的LDAP的变体来对抗其客户的攻击。

DDOS反射是使用欺骗源IP地址向Internet上的各种服务器发送请求的做法，然后将它们的响应引导到该地址而不是真实的发件人。欺骗的IP地址是预期的受害者的IP地址。

该请求被发送到运行UDP的各种服务，因为与传输控制协议（TCP）不同，该传输协议没有验证源地址。迄今为止被滥用的服务，包括域名系统（DNS），网络时间协议（NTP），简单的网络管理协议（SNMP），简单的服务发现协议（SSDP）和字符生成器协议（ Chargen）。CLDAP只是列表的最新添加。

DDOS反思具有隐藏受害者攻击的真实来源，因为交通通过第三方服务器反映，但还有另一种重要原因是攻击者喜欢它：其放大效果。

用于反射的大多数协议也允许攻击者使用小型查询触发大响应。这意味着攻击者可以放大他们可能产生的流量量。

虽然LDAP广泛用于公司网络内，但其直接在互联网上的使用被认为是风险，并且非常令人沮丧。这并不意味着没有公开访问的LDAP服务器：Shodan Search引擎显示超过140,000个系统，响应于港口389的请求，该请求用于LDAP - 其中近60,000位位于美国。

目前尚不清楚这些服务器中有多少接受TCP和UDP的连接，因此可以滥用DDOS放大，但即使是其中一小部分也能够产生大的攻击。这是因为根据Corero，CLDAP（UDP上的LDAP）的平均放大因子为46倍，峰值为55倍。

这意味着攻击者可以生成比触发它们的查询更大的响应，并且服务器通常具有比家庭计算机和通常构成DDOS Botnet的消费者设备更大的带宽。

此外，今天的DDOS攻击结合了多种技术。例如，控制大型僵尸网络的攻击者可以指导它的一部分来反映其通过LDAP服务器的流量，滥用DNS服务器的另一部分，另一部分执行直接SYN泛洪或TCP洪水等。根据6月份的Akamai报告称，今年观察到超过60％的DDOS攻击使用了两种技术或更多技术。

LDAP这样的新的零积大载体的问题是它是CORERE网络安全的CTO而不是扩散。由于只有少数攻击者了解它，他们可以使用这些公开的LDAP服务器的全部容量来启动攻击。他解释说明，该DNS服务器不是用DNS服务器进行映射并用于许多攻击者的反射和放大，限制了他们匮乏的攻击的大小。

另一件事是，已经在DDOS攻击中遭到不断被滥用的DNS，NTP和其他类型的服务器已经存在黑名单。此类列表Don“T可能存在于LDAP服务器。

近几个月，DDOS攻击的大小已达到前所未有的水平，部分原因是大量受损的东西设备设备。上个月，网络安全记者Brian Krebs的博客受到了620Gbps的DDOS攻击，从数千名被攻击的路由器，IP摄像机和数字录像机的僵尸网络发射。几天后，法国托管公司OVH从一个类似的僵尸网络攻击了799Gbps攻击。

上周，针对托管DNS提供商动态网络服务（DYN）推出的DDOS攻击呈现了美国东海岸上的用户无法访问的许多流行网站。

Corero“的Larson表示，越来越多的INECURE IOT设备与新放大向量相结合的人可能会导致明年的多层攻击，甚至将来达到10Tbps的攻击。